一种WIFI安全体系架构的制作方法

本发明涉及一种互联网安全溯源技术，具体地说是一种WIFI安全体系架构。

背景技术：

随着人们对互联网的使用越来越普及，互联网给人们带来许多便利的同时，也带来了很多风险和挑战。例如：少数人利用互联网发布和传播不利于社会稳定言论；这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作，仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求。

安全溯源是基于信息流的数据采集、分析、识别的软件。通过实时审计网络数据流，根据用户设定的安全控制策略，对受控对象的活动进行信息收集。目前，采用在用户侧网络中外加审计设备的方式进行信息收集，由于外加的审计设备安装于客户端，用户隐私保护意识越来越强，不易被用户接受，可能会发生自行拆除现象，拆除并不影响用户上网，导致审计设备的实际应用覆盖率偏低，对信息的收集不全面，影响网络信息安全溯源工作的正常展开。

目前互联网中存在两类网间协议，即地址分配方式分别为IPv4和IPv6,这两类地址分配方式互不兼容，使用户无法跨协议互访。但是IPv4地址分配已经枯竭，为解决该问题，广泛采用了地址复用技术，加重了安全溯源工作的复杂程度。而IPv6具有广阔的地址空间，推广使用IPv6可以使安全溯源工作变得相对容易，但又带来了IPv6客户端访问IPv4网络资源的兼容性问题。

技术实现要素：

针对现有技术中网络信息安全溯源工作难以展开以及IPv6、IPv4网络资源互不兼容等不足，本发明要解决的问题是提供一种能够解决兼容性问题的同时有利于普及安全溯源工作的WIFI安全体系架构。

为解决上述技术问题，本发明采用的技术方案是：

本发明一种WIFI安全体系架构，包括：IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路，将四者通过加密算法实现强制绑定，其中IPv4/IPv6互通应用平台、安全监管平台为云端设备，通过IPv6线路与骨干网进行通讯连接；客户端设备为终端控制设备，通过IPv6单栈线路与骨干网进行通讯连接；客户端设备与终端之间维持轻量化双栈协议，以保证对终端应用程序的兼容性；客户端设备中安装具有信息收集功能的安全插件，将收集到的信息自动上传至安全监管平台。

IPv4/IPv6互通应用平台维护包含以下信息的静态表，实现鉴权：授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。

IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装，实现跨协议栈访问，并记录IPv4/IPv6的地址映射关系。

IPv4/IPv6互通应用平台的控制流程如下：

终端应用程序发起会话请求；

客户端设备(CPE)对终端应用程序的请求进行判断，

客户端设备对终端设备发出的请求进行判断；

判断客户端是否为IPv6客户端，如果是IPv6客户端，则判断是否为IPv6客户端向IPv6服务器发出的请求；

如果是IPv6客户端向IPv6服务器发出的请求，则客户端设备直接向目的地址转发IP包。

如果不是IPv6客户端向IPv6服务器发出的请求，则为IPv6客户端向IPv4服务器发出的请求，IPv6客户端设备向IPv4/IPv6互通应用平台转发IP包。

如果不是IPv6客户端，则为IPv4客户端，将IPv4协议包全部封装为IPv6协议包，该IPv6协议包通过隧道协议向IPv4/IPv6互通应用平台转发。

7IPv6协议包向IPv4/IPv6互通应用平台转发IP包的同时维系与IPv4/IPv6互通应用平台的隧道会话。

隧道会话的建立及维系通过SHA-1算法实现动态密匙交换，并进行单向鉴权。

本发明具有以下有益效果及优点：

1.本发明实现了IPv4/IPv6互通应用平台-安全监管平台-IPv6网络线路-客户端设备的强制绑定关系，使安全监管平台的等效应用覆盖率达到百分之百，有效保证了网络信息安全溯源工作的正常展开，对于社会稳定以及国家安全具有重大意义。

2.本发明通过应用互通平台实现了IPv4/v6网络资源的跨协议栈访问，解决了当前IPv6网站侧信息资源不足的问题，提高了IPv6客户端访问IPv4网络资源的兼容性。

附图说明

图1为本发明上网环境防控体系拓扑图；

图2为本发明中IPv6访问IPv4的方法流程图。

具体实施方式

下面结合说明书附图对本发明作进一步阐述。

如图1所示，本发明一种WIFI安全体系架构，IPv4/IPv6互通应用平台、安全监管平台、客户端设备以及IPv6线路，将四者通过加密算法实现强制绑定，其中IPv4/IPv6互通应用平台、安全监管平台为云端设备，通过IPv6线路与骨干网进行通讯连接；客户端设备为终端控制设备，通过IPv6单栈线路与骨干网进行通讯连接；客户端设备与终端之间维持轻量化双栈协议，以保证对终端应用程序的兼容性；客户端设备中安装具有信息收集功能的安全插件，将收集到的信息自动上传至安全监管平台。

IPv4/IPv6互通应用平台对授权已注册客户端设备发送来的IPv4/v6包进行解封装和再封装，实现跨协议栈访问，并记录IPv4/IPv6的地址映射关系。

IPv4/IPv6互通应用平台维护包含以下信息的静态表，实现鉴权：授权终端硬件特征码、可用IP地址或IP地址范围以及授权终端硬件特征码的算法参数。

本发明通过以上静态表和加密算法实现IPv4/IPv6互通应用平台、安全监管平台、IPv6单栈线路以及客户端设备的强制绑定，非授权客户端设备不能被应用于本架构中，从而解决了信息安全问题。

如图2所示，IPv4/IPv6互通应用平台的控制流程如下：

终端应用程序发起会话请求；

客户端设备(CPE)对终端应用程序的请求进行判断，

客户端设备对终端设备发出的请求进行判断；

判断客户端是否为IPv6客户端，如果是IPv6客户端，则判断是否为IPv6客户端向IPv6服务器发出的请求；

如果是IPv6客户端向IPv6服务器发出的请求，则客户端设备直接向目的地址转发IP包。

如果不是IPv6客户端向IPv6服务器发出的请求，则为IPv6客户端向IPv4服务器发出的请求，IPv6客户端设备向IPv4/IPv6互通应用平台转发IP包。

在判断客户端是否为IPv6客户端时，如果不是IPv6客户端，则为IPv4客户端，将IPv4协议包全部封装为IPv6协议包，该IPv6协议包通过隧道协议向IPv4/IPv6互通应用平台转发，同时维系与IPv4/IPv6互通应用平台的隧道会话。隧道会话的建立及维系通过SHA/1算法实现动态密匙交换，并进行单向鉴权。

本实施例中，客户端设备(CPE)为网关设备或其衍生产品，可以安装于公共场所、企事业单位或家庭中，网关设备内设有IPv6地址池(IPv6Pool)，通过具有信息收集功能的安全插件将收集信息自动上传至安全监管平台，实现对网络信息的监管。

由于IPv4/IPv6互通应用平台做为代理服务器，其对IPv4/IPv6包进行解封装和再封装，并记录IPv4/IPv6的地址映射关系。这样，每个通过该客户端设备上网的终端设备，其IP地址均被记录在客户端设备即网关设备的IPv6P ARP列表中，当终端设备与该网关设备断开连接，从另一网关设备设备登录网络时，其终端特征信息例如MAC地址会记录在新网关设备设备上ARP列表中，并向安全监管平台发送，安全监管平台将刷新MAC地址记录以及MAC地址与IP地址的对应关系，实现信息(如终端设备)位置信息的溯源。

本实施例中，通过SHA-1算法实现隧道会话的建立及维系，该算法取客户端设备的MAC地址(共48位)的后32位及产品系列号做为算法的输入信息，输出鉴权码发送至IPv4/IPv6互通应用平台进行单向鉴权，实现授权客户端设备的安全管理。

本发明还可以应用在宾馆及酒店等场所，由于IPv6具有地址空间广阔的特点，可实现每个客房一段公网IP地址，并可以建立房间号与地址段的静态对应关系，进一步简化信息溯源，保证网络信息安全可控。